Защита персональных данных курс лекций

2) Системное программное обеспечение. Это операционные системы, системы управления базами данных.

3) Прикладное программное обеспечение. Это программы, собственно определяющие технологию обработки данных.

4) База персональных данных.

Для малых и средних предприятий, для которых вполне приемлемо среднее время недоступности от нескольких часов до нескольких дней, оптимально применение следующих технических мер:

1) Своевременное создание образов загрузочных и системных разделов серверов и рабочих станций с последующим восстановлением образов на отремонтированные или на исправные (резервные) серверы и рабочие станции. Образы содержат актуальные на момент создания системное и прикладное программное обеспечение. Время создания и восстановления образов может занимать в зависимости от объема жестких дисков от нескольких минут до нескольких десятков минут.

2) (Организационно-техническая мера). Наличие на складе предприятия резервного коммуникационного и периферийного и другого оборудования или возможность его приобретения в течение 1-2-х дней.

3) Для поддержания актуальности баз данных необходимо применять меры по их регулярному архивированию (дублированию) с частотой, находящейся в прямой зависимости от приемлемого времени недоступности информационной системы. Например, если приемлемое время недоступности системы составляет сутки, то можно считать достаточным ежедневного архивирования баз данных.

1.4.2.2. Ошибки конфигурирования аппаратно-программного обеспечения

Конечно, ошибки конфигурирования должны выявляться еще на этапе опытной эксплуатации системы с применением специальных методик. В данном курсе лекций нет возможности углубиться в данную проблему.

1.4.2.3. Непреднамеренные ошибки пользователей

Непреднамеренные ошибки пользователей должны перехватываться и надлежащим способом обрабатываться системным и прикладным программным обеспечением, например, все операции удаления должны подтверждаться пользователем.

1.4.2.4. Злонамеренные действия нарушителей

Злонамеренные действия нарушителей могут привести к частичному или полному отказу в обслуживании (DoS – Denial of Service). Традиционные и достаточно надежные меры в виде антивирусных подсистем, подсистем обнаружения и предотвращения вторжений (IDS/IPS) и межсетевых экранов будут подробно рассмотрены в лекции «Антивирусы и межсетевые экраны».

Антивирусы предназначены для обнаружения и нейтрализации вредоносных программ, таких как вирусы, черви, троянские кони и т.д. Межсетевые экраны представляют собой программные или программно-аппаратные средства, контролирующие прохождение данных через границу компьютерных сетей.

1.4.3. Обеспечение конфиденциальности техническими мерами

Конфиденциальность персональных данных в отличие от доступности должна обеспечиваться во всех информационных системах обработки персональных данных. Законодательный уровень защиты считает, несанкционированное получение доступа к персональным данным обязательно приводит к негативным последствиям для субъектов. Исключением из этого правила являются только общедоступные персональные данные, которые получают такой статус исключительно по письменному разрешению их субъектов.

Если отвлечься от структурных различий информационных систем, то существует всего два очевидных технических подхода к обеспечению конфиденциальности информации в отношении нелегитимных «пользователей» ИСПДн:

1) Разграничение прав доступа к информации. Этот подход используется, если возможен контроль процесса доступа субъекта (человека, программы, возможно, другой сущности) к информации.

2) Шифрование информации. Этот подход используется, если не возможен контроль процесса доступа субъекта (человека, программы, возможно, другой сущности) к информации. Конечно, при необходимости используются оба подхода.

Как было отмечено выше, источниками угроз могут быть не только внутренние или внешние нарушители, но и пользователи информационной системы, которым официально на административном уровне предоставлен доступ к персональным данным. Защита конфиденциальности от таких внутренних нарушителей по очевидным причинам неизмеримо сложнее. По крайней мере, разграничение прав доступа и шифрования недостаточно. Существует целое направление в информационной безопасности – предотвращение утечек конфиденциальной информации (Data Leak Prevention), в котором разрабатываются адекватные методы и средства защиты от таких пользователей.

В малых предприятиях практически не уделяют внимания таким угрозам и из-за сложности и высокой цены системы DLP в них не находят применения. В лучшем случае используются программные средства контроля за внешними устройствами, которые могут блокировать несанкционированную технологией обработки запись информации на эти устройства.

1.4.3.1. Разграничение прав доступа к информации

Есть несколько механизмов разграничения прав доступа к информации, это дискреционный (избирательный) метод, мандатный, ролевой и другие. Различие их между собой весьма существенное, мандатный метод обычно используется в государственных учреждениях, имеющих дело с государственной тайной. В современных операционных системах, как правило, реализован дискреционный метод. Часто для защиты от несанкционированного доступа к персональным данным используются встроенный в операционную систему механизм разграничения прав доступа. Именно по этой причине более подробно остановимся на нем.

Предварительно, перед началом работы пользователя администратором системы вводится учетная запись пользователя, состоящая из идентификатора (логина), некоторого секрета и других параметров. Секрет должен быть известен только пользователю и системе. Далее системе сообщается, к какому ресурсу (папке, файлу, принтеру) пользователю разрешен доступ, а также права доступа к этому ресурсу (чтение, изменение, запись и т.д.).

Каждый сеанс работы пользователя в системе начинается с процедуры входа, состоящей из следующих этапов:

1) Идентификация (identification). В процессе идентификации используется набор данных, который уникально идентифицирует пользователя. К примеру, пользователю в большинстве случаев для идентификации достаточно ввести логин.

2) Аутентификация, доказательство, проверка подлинности (authentication). Система запрашивает доказательство того, что пользователь является тем, за кого себя выдал при идентификации. Например, доказательством для пользователя может служить:

Нечто, что знают только пользователь и подсистема доступа, общий секрет, например, пароль доступа;

Нечто, чем владеет пользователь, например, смарткарта;

Нечто, что есть часть пользователя, например, отпечатки пальцев.

Нечто, что пользователь делает, например, характерные движения, свойственные почерку.

Интегральные оценки («баллы доверия» – trust scores), вычисляемые системой на основе местонахождения пользователя, безопасности устройства, с которого он подключается и т.п.

3) Авторизация (authorization). Подсистема доступа предоставляет определенные права (разрешения) пользователю на доступ к информации, например, разрешение чтения всех файлов в некоторой папке. Для пользователя система собирает информацию о его членстве в группах. Нередко пользователь (имеется в ввиду операционные системы линейки Windows) принадлежит к нескольким точно определенным группам – локальным (local), доменным (domain local), глобальным (global) и универсальным (universal). На основании этой информации пользователь получает эффективные разрешения на доступ к информации.

4) Отчетность (accounting). Система сохраняет событие аутентификации и другие важные события в журналах. Журналы используются, например, администратором безопасности для отслеживания действий пользователя в системе.

1.4.3.2. Шифрование информации

Если персональные данные передаются через общедоступные сети, например, с помощью электронной почты через сеть Интернет, то становится невозможным проконтролировать и, соответственно, ограничить доступ к ним потенциальным нарушителям. В этом случае они перед отправкой шифруются, т.е. преобразуются в обратимую форму, а на приемной стороне расшифровываются, т.е. преобразуются в исходный вид. Для зашифровывания и расшифровывания информации используются так называемые криптоалгоритмы и ключи шифрования. Аналогично, если актуальны угрозы физического проникновения нарушителя в контролируемую зону или возможно пребывание ИСПДн вне контролируемой зоны (обработка персональных данных с помощью мобильных устройств, кража, потеря их), то также используется шифрование.

Современный взгляд на шифрование определяет принцип, по которому алгоритмы шифрования должны быть открытыми, в тайне должны храниться только ключи шифрования.

Все алгоритмы шифрования делятся на два типа:

1) Алгоритмы с симметричными ключами. Для зашифровывания и расшифровывания информации используется один и тот же ключ шифрования.

2) Алгоритмы с асимметричными ключами. Для зашифровывания и расшифровывания информации используется два взаимосвязанных ключа. Один из них является открытым ключом (публичным), он передается всем заинтересованным субъектам общения для зашифровывания информации владельцу ключа. Расшифровать информацию можно только соответствующим открытому закрытым ключом (секретным, приватным), который владельцем хранится в тайне.

Алгоритмы с симметричными ключами работают значительно быстрее алгоритмов с асимметричными ключами, однако управление ими существенно сложнее: необходимо предусматривать специальные механизмы обмена ключами (высока вероятность перехвата ключа нарушителями при передаче его по компьютерной сети, особенно через неконтролируемую предприятием зону).

Напротив, распространение открытых ключей не вызывает трудности и их можно разместить на любом общедоступном источнике, но низкое быстродействие алгоритмов сдерживает их самостоятельное применение для зашифровывания. Однако, стоит специально отметить, что и в этом случае для распространения открытых ключей необходимы специальные технологии, например, инфраструктура открытых ключей (Publik Key Ifrastructure – PKI). Обычно используют комбинацию алгоритмов с симметричными и асимметричными ключами, которая вбирает в себя положительные свойства обоих классов алгоритмов.

1.4.4. Обеспечение целостности техническими мерами

Напомним, что целостность информации – это устойчивость информации к несанкционированному или случайному воздействию на нее в процессе обработки техническими средствами, результатом которого может быть уничтожение или искажение информации. Вряд ли имеют практическую ценность информационные системы обработки персональных данных, в которых не обеспечена защита данных от несанкционированного изменения и тем более удаления. Это означает, что в каждой информационной системе должны быть предусмотрены меры по обеспечению целостности.

Процесс обеспечения целостности логически как бы задает три вопроса:

1) Как определить, что информация не искажена. Факт определения уничтожения информации, думается, не вызывает затруднений.

2) Как предотвратить несанкционированное воздействие на информацию со стороны нарушителей.

3) Как предотвратить случайное воздействие на информацию, приводящее к ее искажению или уничтожению.

1.4.4.1. Как определить, что информация не искажена

Техника передачи информации, особенно в компьютерных сетях, используют для определения того, искажена информация или нет так называемые контрольные суммы. В криптографии для этих целей используются хеш- функция. Хеш-функция – это трудно обратимое преобразование данных (односторонняя функция), реализуемое, как правило, средствами симметричного шифрования и обладает следующими свойствами:

1) Невозможно (или крайне затруднительно) по значению хеша восстановить исходные данные;

2) Для различных данных значения хеш-функции должны быть различными (по крайней мере, за приемлемое время найти такие данные должно быть чрезвычайно затруднительным);

3) Длина хеша не зависит от длины данных и является постоянным значением.

Если для некоторых (неискаженных) данных предварительно вычислить хеш функцию и запомнить ее (эталонное значение), то определение в дальнейшем целостности этих данных тривиально. Надо заново вычислить хеш и сравнить его с эталоном. Если вычисленное значение хеша и эталона совпадают, то делается вывод о не искаженности данных.

Все просто, если нарушитель не имеет доступа к эталону хеша, что можно обеспечить, например, разграничением прав доступа. Если проконтролировать доступ невозможно (персональные данные передаются через общедоступные сети), то вместе с данными передается зашифрованный эталонный хеш. Отсюда уже видны очертания мощнейшей технологии под названием электронная подпись. Более подробное описание этой технологии см. в разделе «Обеспечение неотрекаемости техническими мерами».

Итак, целостность информация может быть проверена с помощью электронной подписи.

1.4.4.2. Как предотвратить несанкционированное воздействие на информацию со стороны нарушителей

Несанкционированное воздействие можно предотвратить разграничением прав доступа к информации, если возможен контроль процесса доступа субъекта (человека, программы, возможно, другой сущности) к информации. Если информация передается через общедоступные сети (неконтролируемую зону), то разумного способа не существует.

Примечание. В данной лекции не рассматриваются методы специального активного технического воздействия на ИСПДн, приводящие к нарушению целостности.

1.4.4.3. Как предотвратить случайное воздействие на информацию, приводящее к ее искажению или удалению

Очень сложный вопрос, на который у меня нет разумного ответа. Если это воздействие инициировано технически сбоем, то надо научиться создавать абсолютно надежные информационные системы. Аппаратное обеспечение умеет обнаруживать и восстанавливать информацию на различных уровнях с помощью корректирующих кодов или иных способов. Так работает оперативная память, дисковые подсистемы RAID компьютеров, канальный и транспортный уровень сетей передачи данных.

Выводы. Определить факт искажения информации можно с помощью эталонного хеша. Если информация искажена или удалена, то применяются меры ее восстановления из резервной копии. Если целостность информации нарушена при ее передаче через службы Интернет злоумышленниками, то организуется ее повторная передача.

1.4.5. Обеспечение неотрекаемости техническими мерами

В лекции № 1 «Основные понятия информационной безопасности» было введено понятие неотрекаемости, как возможность доказать авторство информационного сообщения. Авторство обычного бумажного документа, содержащего персональные данные, можно доказать путем анализа рукописной подписи автора под этим документом. Необходимость пересылки электронного документа, содержащего персональные данные, возникает во многих случаях, а именно:

1) Отправка отчетных документов, как уже указывалось ранее, в Пенсионный фонд России.

2) Трансграничная передача персональных данных, организуемая турфирмой, для бронирования мест в гостинице в иностранном государстве.

3) Передача с помощью системы дистанционного банковского обслуживания заработной платы сотрудников на их счета в банке. И т.д.

Во всех этих и других аналогичных случаях используется электронная подпись, как аналог рукописной подписи.

В соответствии с законом РФ (ФЗ РФ от 6 апреля 2011г. № 63-ФЗ «Об электронной подписи») «электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию». Электронная подпись с каждым днем становится все более востребованной для предприятий, поэтому нелишним будет более подробное ознакомление с ее основами.

Технически в основе создания и проверки электронной подписи находится криптография с асимметричными ключами и уже упомянутые хеш-функции.

Создание электронной подписи участника электронного взаимодействия (отправителя) для сообщения Т состоит из нескольких этапов:

1) Вычисление значения h хеш-функции от отправляемого сообщения T: h(T);

2) Зашифровывание значения (часто называемого «дайджестом») хеш- функции закрытым ключом отправителя D(h(T)).

Проверка электронной подписи другим участником электронного взаимодействия (получателем) также состоит из нескольких этапов:

- Вычисление значения h хеш-функции от принятого сообщения T` (возможно измененного отправленного сообщения): h(T`);

- Расшифровывание принятого зашифрованного дайджеста S`исходного сообщения T открытым ключом отправителя E(S`);

- Сравнение h(T`) и E(S`). Равенство однозначно доказывает, что сообщение не изменено и автором является владелец секретного ключа:

Если дайджест расшифрован открытым ключом отправителя, то это доказывает, что он зашифрован именно закрытым ключом отправителя;

Если вычисленный получателем дайджест совпадает с отправленным, то это доказывает идентичность отправленного сообщения с полученным.

Для создания и проверки электронной подписи подходят алгоритмы, обладающие следующим свойством: E(D(T)) = D(E(T)) = T. Другими словами, данные, зашифрованные закрытым ключом можно расшифровать открытым ключом и обратно, данные зашифрованные открытым ключом можно расшифровать соответствующим закрытым ключом.

1.5. Заключение

В лекции концептуально рассмотрены законодательные, административные, процедурные и технические меры, необходимые для обеспечения безопасности персональных данных при обработке их в информационных системах персональных данных. Особо тщательно изучены вопросы административного и процедурного уровня. Технические меры изложены с той степенью детальности, которые необходимы для понимания «Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных ….» приказа ФСТЭК России от 18 февраля 2013 г. № 21.

1.6.Вопросы для самопроверки

Почему законодательный уровень наиболее важен среди всех уровней, обеспечивающих защиту персональных данных:

На законодательном уровне формируется отношение всего общества к исключительной важности защиты персональных данных на текущем и последующих этапах повсеместного проникновения технологий информатизации во все сферы действия его жизни;

Законодательный уровень может стимулировать или сдерживать создание адекватных систем защиты персональных данных:

Очень высокие требования к защите и очень низкие наказания за невыполнение требований;

Негативные последствия за непродуманные решения касаются практически всех предприятий РФ;

Гармонизированные требования к защите и меры наказания за невыполнение требований перед государством и физическим лицом.

В западной Европе законодательный уровень самый важный.

Возможно ли создание полноценной защиты персональных данных при игнорировании какого-либо из уровней защиты (законодательного, административного, процедурного, технического, физического):

Да, профессионально разработанная техническая защита способна обеспечить надежную защиту персональных данных без использования других уровней;

Да, исчерпывающие положения и руководства, безупречно выполняемые сотрудниками предприятия, обеспечат необходимую защиту персональных данных без использования других уровней;

Да, если обеспечить надежную физическую охрану информационных систем, то необходимость в других уровнях отпадет;

Нет, только в комплексном профессиональном учете требований всех уровней возможно создание полноценной защиты персональных данных.

Существуют ли требования по количеству и содержанию документов, входящих в состав Организационно-распорядительной документации (административный и процедурный уровни):

Да, все они перечислены в этой лекции;

Нет, конкретных требований к количеству и содержанию ОРД не существует. ОРД – это локальные акты Оператора (предприятия), утверждаемые руководством;

Да, перечень и содержание определяет Федеральная служба «Роскомнадзор», контролирующая деятельность предприятий по защите персональных данных.

Почему так много документов в составе ОРД:

Это конкретный взгляд на состав ОРД автора лекций;

Чтобы успешно пройти проверку Роскомнадзора при плановой или внеочередной проверке предприятия на соответствие организационной защиты требованиям законодательного уровня;

Чтобы обеспечить персонал – пользователей информационной системы точными процедурами поведения для предотвращения нарушения безопасности персональных данных при их обработке.

Для обеспечения конфиденциальности персональных данных используется разграничение прав доступа в операционной системе или в прикладной программе. Наибольшее распространение до сих пор приходится на парольную аутентификацию пользователя, которая считается очень ненадежной. Почему?

Как называется трудно обратимая функция, широко используемая в технологии электронной подписи:

Хеш – функция (hash);

Кэш – функция (cash);

Слеш – функция (slash).

Известно, что алгоритмы симметричного шифрования намного быстрее алгоритмов асимметричного шифрования. Назовите причину, по которой алгоритмы симметричного шифрования практически не используются сами по себе при передаче через Интернет, а только в совокупности с алгоритмами асимметричного шифрования.

Для чего используется дайджест (digest) при защите персональных данных:

Промежуточная компонента электронной подписи;

Краткий пересказ чего-либо;

Двоичное представление симметричного ключа шифрования.

Имеется, к примеру, документ формата Word (doc, docx) на 40 страницах, содержащий не конфиденциальную информацию, для которой нужно обеспечить целостность. Документ общедоступен на файловом сервере. Какой способ защиты целостности Вы предлагаете:

Периодически сверять вручную по содержанию версию документа на сервере с оригиналом, хранящимся на Вашем (локальном) компьютере;

Использовать программу, находящую различия в 2-х файлах;

Вычислить хеш функцию от документа и разослать ее значение всем пользователям этого файла.